[$=P=Y]

Запароль меня по-всякому!

Привет, «Игромания». После инцидента с паролями социалки «ВКонтакте» я задумался, какое количество людей создает банальные, легко угадываемые пароли и сколько же простых смертных погорает на этом? Сам регулярно ловлю себя на том, что использую какие-то банальные пароли в почте и на многих форумах. На одной доске обсуждений меня недавно даже забанили: кто-то украл мой аккаунт (пароль был банальный qwerty) и выложил ссылки на порно.
Расскажите, а какими методами паролесоздания пользуетесь вы? И что вообще нужно учитывать, создавая пароль. А то я сталкивался с ситуациями, когда хакеры запросто подбирают даже довольно длинные пароли, которые мне кажутся сложными для взлома. – Кирилл Овчинников (Москва)

Александр Макаренко (Ломал мозг над паролями)

Для начала – небольшой ликбез для тех, кто не в курсе, что случилось с «ВКонтакте». Приблизительно месяц назад, 30 июля, в интернете неожиданно появился текстовый файл, содержащий несколько тысяч логинов/паролей участников этой социальной сети. Ссылка буквально за несколько часов распространилась по многочисленным форумам, народ начал развлекаться: скачавшие файл логинились под произвольным именем и различными способами подшучивали над настоящими владельцами акков. Меняли фотографии, переписывали личные данные, оставляли сообщения на «стене» в духе «я – лох, меня взломали».
Судя по всему пароли воровал троян, кто именно собрал все это в единый файл и выложил в интернете, на момент написания мной этих строк еще не ясно. Администрация «ВКонтакте» среагировала оперативно: заблокировала доступ к страничкам с украденными данными, выслала на почту истинным владельцам новые пароли – в общем, никаких серьезных последствий не было.
Но многие интернетчики смогли узнать, что множество людей используют самые банальные пароли – чтобы их подобрать, не нужен никакой декриптор, троян или еще какая-нибудь хакерская примочка, их можно взять просто из головы. Qweerty, 12345, 98765, 1q2w3e4r и тому подобные. Попадались и откровенно стебные пароли, которые, тем не менее, довольно просто подобрать: «хочумужика», «хочубабу», «мужикикозлы», «йаблондинко».
Особенно позабавил всех следивший за событиями пароль «яломалстеклокакшоколадвруке». И вот его на самом деле очень непросто подобрать, потому что состоит он из 27 символов, даже самый продвинутый подборщик угрохает не один месяц на расщелкивание такого монстра.
Теперь давайте о конкретике. Если вы не готовы запоминать такие громоздкие фразы и хотите пароль покороче, то лучше включить голову и выключить рубильник встроенной в каждого из нас имбецильности. Сложнее всего подбираются пароли, содержащие буквы, числа и знаки препинания одновременно. Буквы при этом лучше ставить в разном регистре (большинство сервисов поддерживают эту функцию).
Я чаще всего ставил пароль по следующей схеме. Беру два мало связанных слова. Например, «опарыш» и «злобный». Из-за малосовместимости этих слов они легко запоминаются. Добавляю какую-то хорошо известную мне цифру – скажем, 1940 год, год рождения Джона Леннона. Ставлю между ними какой-то логический знак – допустим двоеточие. Получается «ЗлобныйОпарыш:1940». Осталось только написать эту забавную фразу в английской раскладке – Pkj,ysqJgfhsi:1940 – и получается пароль, подобрать который методом ненаучного тыка невозможно, спецпрограммы с таким паролем тоже не справляются.

Светлана Померанцева (Раскрывала тайные секреты)

Старпом, метод, безусловно хороший, я сама пользуюсь приблизительно таким же. Но вот незадача – когда регистрируешься на множестве самых разных сайтов и служб, запомнить все такие прикольные пароли невозможно. А использовать один и тот же – тоже не хочется, ведь если кто-то украдет базу одного сайта (как это случилось с «ВКонтакте»), то злоумышленник получит доступ ко всем другим сервисам. Ты вот говоришь, что все закончилось без последствий, а откуда ты знаешь, где еще люди использовали те же самые пароли, что и в социалке? Может хакреы уже давно используют их твиттеры, почтовые ящики и аськи?!
Записывать же каждый раз новый пароль в отдельном файле – тоже не выход, его как базу паролей с сайта можно украсть прямо с вашего компьютера. Есть, конечно, программы-шифровальщики, но после того как я однажды потеряла всю базу паролей в результате краха системы, я перестала им доверять.
Поэтому я всегда ставлю на любой новый сервис стандартный пароль, но… меняю в нем по определенному алгоритму всего две буквы. На компьютере же держу только последовательность сервисов, то есть в какое время я в них регистрировалась. Зная последовательность, я всегда знаю какие две буквы на что надо поменять, чтобы получить правильный пароль.

- Игромания №9 (144) 2009

[ALEXEVIAN]

Кар-Карыч, верно всё пишешь.

Но вот здесь я не согласен:

Цитата:

Сообщение от Кар-Карыч

а ящики через восстановление паролей, многие в любимом животном пишут своих кисок и собачек, а потом об них так упоительно рассказывают, при желании пол форума можно сломать.

Не знаю о каком конкретном форуме идёт речь, НО правильный ящик нельзя взломать огадав ключевую фразу восстановления пароля. Дело в том, что письмо с восстановленным паролем (или его новая версия с запросом подтверждения) отправляется прямиком на ящик обладателя,а не куда-то ещё.

Кому очень интересен взлом пароля, поэкспериментируйте с брутами на архивы RAR или новые версии ZIP. Даже лучшие из них на мощном компьютере закопаются (при хорошем пароле), что жизни не хватит. В принципе продуманную систему обойти невозможно, обходятся только системы с дырами.

[Bad Gateway]

Цитата:

Сообщение от ALEXEVIAN

НО правильный ящик нельзя взломать огадав ключевую фразу восстановления пароля

Ну вообще-то если правильно ответил сразу форма смены пароля идет, так что угоняют сразу. Яндекс, мейл и прочие так работают.

Ты имеешь ввиду смену пароля аккаунта, а это другое.

[ALEXEVIAN]

Bad Gateway, да, видимо я не о том написал. Пардон. Иногда бывает возможность отказаться от восстановления по ключевой фразе. Лучше не использовать.

[Кар-Карыч]

Цитата:

Сообщение от Bad Gateway

Яндекс, мейл и прочие так работают.

Да, это основное слабое место, угоняется почтовый ящик, а после уже и аккаунт с форумов, а некоторые сервисы так вообще используют почтовый ящик для входа.

[Гиперион]

Цитата:

Сообщение от ALEXEVIAN

Bad Gateway, да, видимо я не о том написал. Пардон. Иногда бывает возможность отказаться от восстановления по ключевой фразе. Лучше не использовать.

Я правильно понял, что восстановления по ключевой фразе лучше не использовать. В стиме тоже есть такая функция, получается, что от неё следует отказаться дабы себе не навредить?

[ShadowJack]

Sem Shephard, просто надо писать ответ абсолютно не связанный с вопросом, хоть любимую поговорку на вопрос об имени домашнего животного. Это фактически неподбираемо.

[ALEXEVIAN]

Sem Shephard, я бы не стал пользоваться. А если будешь, то главное не забудь потом, что написал в ответ, а то и сам не догадаешься. У меня уже один случай есть Как раз в духе рекомендации от
ShadowJack, написал такое, что ломал голову, но так и не вспомнил. Хотя есть подозрение, что набрал символы наобум (давно было). В итоге почтовый ящик безвозвратно утерян.

Цитата:

Сообщение от ShadowJack

Это фактически неподбираемо.

стало истиной

[HerMen]

Народ везде используйте сложные и разные пароли

[Drunk]

Цитата:

Сообщение от HerMen

Народ везде используйте сложные и разные пароли

спасибо, КЭП!!

[Кар-Карыч]

Цитата:

Сообщение от HerMen

Народ везде используйте сложные и разные пароли

И забывайте их, и потом опять, и опять.

А можно так vasy > v\a\s\y > v-=-a-=-s-=-y > ~v!a@s#y$

[2d0x]

Цитата:

Сообщение от HerMen

Народ везде используйте сложные и разные пароли

Очевидный и правильный совет... С другой стороны: а нужен ли кому-то кроме меня мой аккаунт? И насколько нужен он мне самому...

[-Assasin-]

Цитата:

Сообщение от 2d0x

Очевидный и правильный совет... С другой стороны: а нужен ли кому-то кроме меня мой аккаунт? И насколько нужен он мне самому...

Ну впринципе он никому не нужен , разве только ,чтобы людей разводить , да писать *я-лох меня взломали* , НО это разговор об аккаунте на форуме игромании...

[psixomister]

Можно писать одновременно лёгкие для тебя и сложные для всех остальных пароли состоящие из предложений. Например: pyatnica horoshiy den.

[2d0x]

Цитата:

Сообщение от -Assasin-

...чтобы людей разводить , да писать *я-лох меня взломали*...

Что-то мне подсказывает, что действительно взломанных паролей - десятки на фоне тысяч банально забытых или ставших ненужными. Причём, среди этих десятков лишь тысячная доля взломанных специально и с умыслом. Остальное - случайный улов любителей, играющих в хакеров и пользующихся чужими программами и руководствами. Понятно, что жертвы есть, но много ли таковых; каковы шансы на то, что их пароли не были бы раскрыты, будь они более сложными; насколько виноваты сами пользователи в раскрытии (и дело вовсе не в сложности пароля); etc.?!

Цитата:

Сообщение от -Assasin-

...НО это разговор об аккаунте на форуме игромании...

Да, переливание из пустого в порожнее, причём, субъективное и весьма условное.

[Master Klinka]

psixomister, и добавить какие-нибудь цифры

[Кар-Карыч]

Цитата:

Сообщение от psixomister

Можно писать одновременно лёгкие для тебя и сложные для всех остальных пароли состоящие из предложений. Например: pyatnica horoshiy den.

Ну вроде на некоторых сайта есть ограничения на длину пароля, самый короткий/самый длинный

[Vlad L.]

Цитата:

Сообщение от psixomister

Можно писать одновременно лёгкие для тебя и сложные для всех остальных пароли состоящие из предложений. Например: pyatnica horoshiy den.

Наврядли, помимо упомянутых ограничений, буковки имеют еще и серьезный минус, и это, собственно, безопасность. В любом случае, пароль состоящий из одних букв будет не слишком надёжным. Рекомендуется поставить циферок, буковок, больших, маленьких, а это всё уже будет сложновато запомнить.
Кроме того, например у меня за несколько лет количество паролей разрослось так, что без использования программ не обойтись. Причем всёравно, кой-какая путаница есть, но прога хотя бы помогает хоть как-то контролировать ситуацию.

[RIBBICK.]

Не думаю, что можно отгадать любой пароль. Вот у меня ник RIBBICK., а значит и пароль связан с рыбами, и я скажу даже больше - в нем 8 букв, и они написаны на английском. Да только весь рыбий "сеттинг" нужно слишком долго перелопатывать, чтобы узнать, что у меня за пароль, хотя как узнать, если не каждый знает, что мой пароль вообще означает. Да и слова такого в Английском языке нету.

[ALEXEVIAN]

Цитата:

Сообщение от RIBBICK.

Вот у меня ник RIBBICK., а значит и пароль связан с рыбами

Я бы в жизни не догадался, что речь идёт о рыбах так что хороший пароль!

[ShadowJack]

Цитата:

Сообщение от RIBBICK.

е думаю, что можно отгадать любой пароль. Вот у меня ник RIBBICK., а значит и пароль связан с рыбами, и я скажу даже больше - в нем 8 букв, и они написаны на английском.

Угадыванием занимаются не люди, а программы. Чередование цифр, букв, знаков и разных регистров значительно повышает время, требуемое для подбора. Так что однородные пароли в топку.